Подходы, принципы обеспечениябезопасности

Под обеспечением безопасности информационных систем понимают меры, предохраняющие информационную систему от случайного или преднамеренного вмешательства в режимы ее функционирования.

Существует два принципиальных подхода к обеспечению компьютерной безопасности.

Первый из них – фрагментарный, в его рамках происходит ориентация на противодействие строго определенным угрозам при определенных условиях (например, специализированные антивирусные средства, автономные средства шифрования и т.д.). У подхода есть как достоинства – предполагающие высокий уровень избирательности в части строго определенной проблемы, так и недостатки – предполагающие фрагментарность защиты – т.е. строго определенных элементов.

Процесс управления защитой информации включает в себя компоненты, представленные на рис. 1.

Второй подход – системный, его особенностью является то, что в его рамках к защите информации относятся более масштабно - создается защищенная среда обработки, хранения и передачи информации, объединяющей разнородные методы и средства противодействия угрозам: программно-технические, правовые, организационно-экономические. Посредством указанной защищенной среды можно гарантировать определенный уровень безопасности автоматизированной информационной системы.

Системный подход к защите информации базируется на следующих методологических принципах:

-конечной цели - абсолютного приоритета конечной (глобальной) цели;

-единства - совместного рассмотрения системы как целого' и как совокупности частей (элементов);

-связности - рассмотрения любой части системы совместно с ее связями с окружением;

-модульного построения - выделения модулей в системе и рассмотрения ее как совокупности модулей;

-иерархии - введения иерархии частей (элементов) и их ранжирования;

-функциональности - совместного рассмотрения структуры и функции с приоритетом функции над структурой;

-развития - учета изменяемости системы, ее способности к развитию, расширению, замене частей, накапливанию информации;

-децентрализации - сочетания в принимаемых решениях и управлении централизации и децентрализации;

-неопределенности - учета неопределенностей и случайностей в системе.

Современные исследователи выделяют следующие методологические,

организационные и реализационные принципы информационной (в том числе компьютерной) безопасности.

Принцип законности. Состоит в следовании действующему законодательству в области обеспечения информационной безопасности.

Принцип неопределенности.Возникает вследствие неясности поведения субъекта, т.е. кто, когда, где и каким образом может нарушить безопасность объекта защиты.

Принцип невозможности создания идеальной системы защиты. Следует из принципа неопределенности и ограниченности ресурсов указанных средств.

Принципы минимального риска и минимального ущерба.Вытекают из невозможности создания идеальной системы защиты. В соответствии с ним необходимо учитывать конкретные условия существования объекта защиты для любого момента времени.

Принцип безопасного времени.Предполагает учет абсолютного времени, т.е. в течение которого необходимо сохранение объектов защиты; и относительного времени, т.е. промежутка времени от момента выявления злоумышленных действий до достижения цели злоумышленником.

Принцип «защиты всех ото всех». Предполагает организацию защитных мероприятий против всех форм угроз объектам защиты, что является следствием принципа неопределенности.

Принципы персональной ответственности. Предполагает персональную ответственность каждого сотрудника предприятия, учреждения и организации за соблюдение режима безопасности в рамках своих полномочий, функциональных обязанностей и действующих инструкций.

Принцип ограничения полномочий.Предполагает ограничение полномочий субъекта на ознакомление с информацией, к которой не требуется доступа для нормального выполнения им своих функциональных обязанностей, а также введение запрета доступа к объектам и зонам, пребывание в которых не требуется по роду деятельности.

Принцип взаимодействия и сотрудничества. Во внутреннем проявлении предполагает культивирование доверительных отношений между сотрудниками, отвечающими за безопасность (в том числе информационную), и персоналом. Во внешнем проявлении - налаживание сотрудничества со всеми заинтересованными организациями и лицами (например, правоохранительными органами).

Принцип комплексности и индивидуальности.Подразумевает невозможность обеспечения безопасности объекта защиты каким-либо одним мероприятием, а лишь совокупностью комплексных, взаимосвязанных и дублирующих друг друга мероприятий, реализуемых с индивидуальной привязкой к конкретным условиям.

Еще по теме:

Исторические аспекты развития страхования
В докапиталистических обществах основной формой страхования была страховая взаимопомощь. Сначала она носила характер разовых соглашений о взаимопомощи в области путевой, странствующей торговли, как сухопутной, так и морской. Соглашения касались товаров и перевозочных средств, в качестве которых выс ...

Классификация страховых посредников по характеру основного вида деятельности и характеру взаимоотношений со страхователем и страховщиком
Итак, можно выделить две основные категории страховых посредников: 1. специализированные страховые посредники, у которых операции по страхованию являются основным или одним из основных видов деятельности; 2. предприятия, которые при обслуживании клиентов по своим основным видам деятельности, не свя ...

Перестрахование в представительстве Белорусского республиканского унитарного страхового предприятия "Белгосстрах"
Перестрахование в представительстве Белорусского республиканского унитарного страхового предприятия "Белгосстрах" по г. Могилеву регулируется Положением о порядке заключения и исполнения договоров страхования (далее по тексту Положение) на Белорусском республиканском унитарном страховом п ...